En estos días, se habla mucho de la nueva ley de protección de datos que entrará en vigor el 25 de mayo de 2018. En ella, se da una especial relevancia a la necesidad de establecer un marco de protección y acceso de los datos que las empresas manejan de sus clientes. Tanto es así, que ahora, a diferencia de lo que venía ocurriendo, una empresa puede ser responsable de una filtración de datos.

El mundo evoluciona

Las empresas deben concienciarse de que vivimos tiempos de cambio. La nueva oportunidad de negocio que supone la red de redes tiene también sus riesgos, nuevas amenazas que antes no existían.

La nueva ley obliga a las empresas a hacerse responsables, a poner los medios necesarios, para que la salvaguarda de los datos que se les confían sea la correcta.

Esto, que en algunos casos se presenta como algo negativo, que va a provocar pérdidas y obligaciones de incrementar el gasto en ciberseguridad, no debe verse así. Es necesario concienciarse de que la protección frente a las nuevas amenazas no solo es recomendable, independientemente de lo que diga una ley, sino que también nos protege de situaciones complicadas.

Y, a pesar de lo que pudiera parecer, el coste de implementar las protecciones necesarias no es desorbitado, es perfectamente asumible por una pyme. CiberEOP se presenta así como un proyecto no lucrativo especialmente atractivo para que estas pequeñas empresas puedan acometer los cambios que necesitan en ciberseguridad.

Un escenario que debe mejorar

El panorama de la ciberseguridad en las empresas españolas es, a día de hoy, deficitario. Es necesario trabajar en la dirección de la mejora y refuerzo de la seguridad, especialmente frente a las amenazas procedentes de internet. Tan solo las empresas relacionadas con el sector de las TI presentan un perfil más preparado, pero deben ser todos los sectores los que se conciencien de que se trata de un tema a resolver.

Se ha visto al mundo digital como una excelente oportunidad de negocio, de expandir nuestra red de ventas. Pero se ha olvidado de que también tiene unos requisitos a satisfacer.

Y el riesgo es alto: en caso de sufrir un ataque, podemos perder datos valiosos, básicos, que pueden finalmente representar pérdidas millonarias. Incluso más allá, nuestra imagen puede quedar severamente dañada si afecta a nuestros clientes.

Los ataques son en su mayoría sencillos

A pesar de lo que pudiera parecer, los ataques perpetrados por cibercriminales no suelen presentar un alto grado de complejidad. Más bien, en la mayoría de los casos, se ciñen a labores de ingeniería social, o a ataques de denegación de servicio. En este apartado, no ha habido realmente una revolución con respecto a las técnicas empleadas en años anteriores, en relación a los ataques que puede sufrir un usuario normal o una pequeña empresa.

Cuando estos ataques tienen éxito, suelen estar más relacionados con una falta de conocimiento y preparación del usuario, más que con una habilidad especial del cibercriminal. El uso de correos electrónicos fraudulentos (phising), o la suplantación de identidad en mensajes, sigue siendo un problema más cercano a la no implantación de unas normas básicas de comportamiento, que a un problema tecnológico.

De esta forma, pueden quedar expuestos datos de empleados, clientes, proveedores, cifras de negocio, etc. O incluso, con técnicas de suplantación, realizar transferencias monetarias fraudulentas y sufrir el robo directamente.

La solución está en los hábitos

Muchos de los problemas se resuelven teniendo unos hábitos adecuados a la hora de trabajar y relacionarnos con la tecnología. Ciertas costumbres pueden suponer un peligro para nuestra empresa y vida personal.

A veces, con un sencillo curso se puede establecer una primera línea de defensa que detendrá el 90% de los ataques.

Por ejemplo, el uso privado de nuestros dispositivos, como los smartphones, puede afectar a nuestra empresa sin ni siquiera darnos cuenta.

La nueva ley de protección de datos

Realmente, la nueva ley obliga a las empresas a tomarse en serio la ciberseguridad. Ahora, si somos víctimas de un ataque cibernético donde se filtran datos, estamos obligados a informar de ello a la agencia de protección de datos, e incluso a los clientes afectados.

Esto puede ser un duro golpe para nuestra reputación, e incluso para la cuenta de resultados. Aunque la ley puede castigar a los que no han puesto los medios de protección necesarios, ciertamente se trata de una falta de previsión flagrante.

Tengamos en cuenta que existen multitud de sistemas automatizados buscando vulnerabilidades en los servidores, ordenadores y dispositivos. Una pequeña web de una empresa local puede recibir una media de 10 ataques diarios, buscando cómo conseguir acceso a las bases de datos.

Conclusión

La ciberseguridad es, ahora más que nunca, un apartado que no debe ser descuidado, sea cual sea el tamaño de nuestro negocio. No solo por las obligaciones legales, sino por las pérdidas que un sistema deficiente puede provocar en nuestro negocio.

A veces, con unas pautas muy sencillas, ya tenemos parte del trabajo hecho: no tener la misma contraseña para todo, desconfiar de correos electrónicos de procedencia desconocida o sospechosa, cifrar los dispositivos móviles, mantener siempre los sistemas actualizados… son algunos de los consejos básicos que hemos de tener presentes en nuestro día a día.